Komunikat: update free soft today!

[dannon]

Witam,

Od momentu kiedy pobierałem Gimp-a , przypadkowo kliknąłem w jakąś reklamę i pobrał mi się plik o nazwie setup.exe którego nie otwierałem tylko od razu skasowałem. Jednak po chwili plik ten otworzył się z komunikatem "update free soft today" nie można tego w żaden sposób zamknąć , pozostaje tylko kliknięcie "OK" który zmienia się w standardowy proces instalacji programu/gry z logo różowej świnki i oczywiście tego tez nie można zamknąć tylko pozostaje tylko ctrl+alt+del i zamknięcie aplikacji która po kilku minutach znowu się otwiera.

 

*Usunąłem wszystkie pliki z nazwą setup.exe i nic nie pomogło

*Przywracanie systemu też nic nie wniosło pozytywnego

 

 

Pozdrawiam i dziękuje !

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

GMER.txt

[picasso]

No cóż, tu jest stan po uruchomieniu jakiegoś wrednego instalatora, kasowanie plików "setup.exe" nic nie wskóra, bo to już nie ten etap, jest za późno. W systemie zainstalowało się już adware (Bench, Discount Dragon, fst_pl_14). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\Damian\AppData\Local\fst_pl_14\upfst_pl_14.exe
() C:\Program Files (x86)\fst_pl_14\fst_pl_14.exe
() C:\Users\Damian\AppData\Local\fst_pl_14\upfst_pl_14.exe
(FreeSoftToday ) C:\Users\Damian\AppData\Local\fst_pl_14\Download\majfst.exe
() C:\Users\Damian\AppData\Local\Temp\is-BAN29.tmp\majfst.tmp
HKLM-x32\...\Run: [fst_pl_14] - C:\Program Files (x86)\fst_pl_14\fst_pl_14.exe [3993584 2013-11-27] ()
HKLM-x32\...\RunOnce: [upfst_pl_14.exe] - C:\Users\Damian\AppData\Local\fst_pl_14\upfst_pl_14.exe -runonce [3154416 2013-11-27] ()
HKLM-x32\...\RunOnce: [Discount Dragon-repairJob] - wscript.exe "C:\Users\Damian\AppData\Local\Discount Dragon\repair.js" "Discount Dragon-repairJob" [1846 2013-12-18] ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Discount Dragon BHO - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - C:\Program Files (x86)\Discount Dragon\FrameworkBHO64.dll ()
BHO-x32: Discount Dragon BHO - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - C:\Program Files (x86)\Discount Dragon\FrameworkBHO.dll ()
Task: {09C531D7-1EC2-4140-B4B8-1F2C4C2F284C} - System32\Tasks\bench-S-1-5-21-1176149435-4116147368-3617165151-1001 => C:\Program Files (x86)\Bench\Updater\updater.exe [2013-12-18] ()
Task: {DABEA1CC-C725-4D96-B54C-66CB2CE5D227} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe [2013-12-18] ()
Task: C:\Windows\Tasks\bench-S-1-5-21-1176149435-4116147368-3617165151-1001.job => C:\Program Files (x86)\Bench\Updater\updater.exe
Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
S3 ipswuio; System32\DRIVERS\ipswuio.sys [x]
C:\Program Files (x86)\Bench
C:\Users\Damian\AppData\Roaming\Systweak
CMD: md C:\Users\Damian\Desktop\Upload
CMD: md C:\Users\Damian\Desktop\Upload\{D8A30808-3888-E608-3AA4-A2CEA2623402}
CMD: md C:\Users\Damian\Desktop\Upload\nikdaiaidiiiogaidkkekcmokcgcdeac
CMD: xcopy /e C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\pisvs1k5.default\Extensions\{D8A30808-3888-E608-3AA4-A2CEA2623402} C:\Users\Damian\Desktop\Upload\{D8A30808-3888-E608-3AA4-A2CEA2623402}
CMD: xcopy /e "C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac" C:\Users\Damian\Desktop\Upload\nikdaiaidiiiogaidkkekcmokcgcdeac

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Discount Dragon, fst_pl_14, Qtrax Player, zbędnik Akamai NetSession Interface oraz nadwyżkowy starawy antywirus Trend Micro Internet Security (przegięcie w układzie, działa wspólnie z Avast!).

 

3. Wyczyść Firefox z adware: Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. W Google Chrome:

- Odinstaluj adware: Ustawienia > karta Rozszerzenia > odinstaluj Discount Dragon (być może po głównej deinstalacji nie będzie już widoczne).

- Zresetuj cache wtyczek: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Te logi mają być w postaci załączników forum. Na Pulpicie powstał też folder Upload, spakuj go do ZIP, shostuj gdzieś na serwisie zewnętrznym i podaj link do niego.

 

 

 

.

[dannon]

Dziękuje za odpowiedź . dołączam pliki ale nie powstał mi folder na pulpicie o nazwie "Upload" a "Stare dane programu Firefox ". szukałem folderu "Upload" w wyszukiwarce folderów i plików i nic nie znalazło.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Nie ma folderu Upload, bo w ogóle punkt 1 nie został wykonany, a folder "Stare dane programu Firefox" nie jest powiązany, bo to jest skutek akcji w punkcie 3. Co Ty właściwie wykonałeś w punkcie 1? Przecież fixlog.txt wskazuje, że nic kompletnie nie wkleiłeś do Notatnika (pusto), dlatego nic się nie wykonało z punktu 1. I przeszedłeś dalej w instrukcjach, co spowodowało, że Upload jest już częściowo nieaktualny, bo zlikwidowałeś jeden z obiektów, które miałam kopiować do analizy.

 

Dużo się zmieniło, więc są nowe instrukcje:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {09C531D7-1EC2-4140-B4B8-1F2C4C2F284C} - System32\Tasks\bench-S-1-5-21-1176149435-4116147368-3617165151-1001 => C:\Program Files (x86)\Bench\Updater\updater.exe [2013-12-18] ()
Task: {DABEA1CC-C725-4D96-B54C-66CB2CE5D227} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe [2013-12-18] ()
Task: C:\Windows\Tasks\bench-S-1-5-21-1176149435-4116147368-3617165151-1001.job => C:\Program Files (x86)\Bench\Updater\updater.exe
Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe
HKCU\...\Run: [Akamai NetSession Interface] - "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe"
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
S3 ipswuio; System32\DRIVERS\ipswuio.sys [x]
U3 tmlwf;
U3 tmwfp;
C:\Windows\system32\Drivers\etc\tmvsthfud.bin
C:\Windows\system32\Drivers\etc\tmvsthfss.bin
C:\Windows\system32\AutoRunFilter.ini

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST. Dołącz plik fixlog.txt. W folderze "Stare dane programu Firefox" powinien być folder ...\Extensions\{D8A30808-3888-E608-3AA4-A2CEA2623402}. Ten zapakuj do ZIP, shostuj gdzieś i podaj link do tego.

 

 

.

[dannon]

hmm wydaje mi się ze na pewno skopiowałem do notatnika to co było trzeba, możliwe ze nazwałem ten plik "fixlist" a nie "fixlist.txt" choć nie wiem czy ma to jakieś znaczenie skoro był to notatnik który sam nadaje rozszerzenie txt, chyba ze miało to inny cel. A folder "extensions" jest pusty.

 

 

Fixlog.txt

FRST.txt

[picasso]

Skryp wykonany. Zanim zadam końcowe czynności, jeszcze to do potwierdzenia:

 

 

A folder "extensions" jest pusty.

Podaj mi pełną listę tego folderu. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Damian\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

możliwe ze nazwałem ten plik "fixlist" a nie "fixlist.txt" choć nie wiem czy ma to jakieś znaczenie skoro był to notatnik który sam nadaje rozszerzenie txt, chyba ze miało to inny cel.

W kwestii fixlist vs fixlist.txt: pewnie masz w Opcjach folderów zaznaczoną opcję "Ukrywaj rozszerzenia znanych typów plików" i nie widzisz rozszerzeń *.TXT w eksploratorze. Gdyby plik miał wadliwą nazwę, FRST w ogóle by go nie znalazł i byłby błąd. FRST plik znalazł i wykonał, a że plik był pusty, nie zostało po prostu to przetworzone.

 

 

 

 

.

[dannon]

no to wychodzi ze coś namieszałem. Jak na razie po restarcie komputera nic nie wyskakuje. Dziękuje za odpowiedz i pomoc.

Fixlog.txt

[picasso]

Problem podstawowy został już rozwiązany. Ale poproszę Cię o jeszcze jedną rzecz. Drąże to, bo detekcje nazw w FRST są istotne, a tu FRST nie pobrał nazw tego adware "Discount Dragon" w Firefox i Google Chrome, staram się ułatwić pracę autorowi i diagnozować w czym problem. Sprawdź czy punkty Przywracania systemu mają nagrane te foldery:

 

1. W pasku adresów eksploratora wklej ścieżkę i ENTER:

 

C:\Users\Damian\AppData\Roaming\Mozilla\Firefox

 

Kliknij prawym na podfolder Profiles > Właściwości > Poprzednie wersje > jeśli są nagrania, wybierz to między 21 grudnia a datą dzisiejszą i Otwórz. W otwartym eksploratorze wyszukaj ten folder:

 

C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\pisvs1k5.default\Extensions\{D8A30808-3888-E608-3AA4-A2CEA2623402}

 

Opcją Kopiuj zduplikuj go na Pulpicie.

 

2. W pasku adresów eksploratora wklej ścieżkę i ENTER:

 

C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default

 

Kliknij prawym na podfolder Extensions > Właściwości > Poprzednie wersje > jeśli są nagrania, wybierz to między 21 grudnia a datą dzisiejszą i Otwórz. W otwartym eksploratorze wyszukaj ten folder:

 

C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac

 

Opcją Kopiuj zduplikuj go na Pulpicie.

 

Oba foldery spakuj do ZIP, shostuj gdzieś i podaj mi link.

 

 

 

.

[dannon]

W obu przypadkach nagrane były wersje z 23 grudnia i 21 grudnia, tylko te z 23 nie miały podanych lokalizacji:

 

C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\pisvs1k5.default\Extensions\{D8A30808-3888-E608-3AA4-A2CEA2623402}

 

C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac

 

natomiast te z 21 miały i podaje je tu pod spodem : 

 

http://www.sendspace.pl/file/f26df42359787063a5543a5

 

http://www.sendspace.pl/file/129b06ce130f41f1f584abb

[picasso]

Wielkie dzięki. Jeszcze jeden plik z 21 grudnia proszę skopiuj z interfejsu "Poprzednie wersje":

 

C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

I po tym już zadam czynności końcowe.

 

 

 

.

[dannon]

oto plik :

 

http://www.sendspace.pl/file/5d734a45b76d77bbe1068b4

[picasso]

Dzięki dannon. Wszystko zgłosiłam, problem okazał się przejściowy. Możemy kończyć:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\Damian\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK. Znikną więc kopie "Poprzednie wersje" mające nagrania adware.

 

3. Zaktualizuj wyliczone poniżej programy i cały Windows: KLIK. Stan notowany obecnie:

 

Windows 7 Ultimate (X64) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Reader 9.0.1 (x32 Version: 9.0.1)

Java 7 Update 21 (x32 Version: 7.0.210)

Microsoft Office Standard 2010 (x32 Version: 14.0.4763.1000)

Microsoft Silverlight (x32 Version: 5.1.20125.0)

Mozilla Firefox 21.0 (x86 pl) (x32 Version: 21.0)

 

 

 

.